CVE-2026-55652 in Wekan
الملخص
بحسب VulDB • 16/07/2026
Wekan هو نظام كانبان مفتوح المصدر مبني باستخدام Meteor. قبل الإصدار 9.46، كانت ميزة تسجيل الدخول عبر الرأس (header-login) التي تستخدم متغير البيئة HEADER_LOGIN_TRUSTED_IPS تستدعي دالة getRequestIp() في الملف server/lib/headerLoginAuth.js للوثوق بعنوان IP الذي يرفعه العميل من خلال رأس X-Forwarded-For قبل التحقق من عنوان المقبس الحقيقي، مما يتيح لمهاجم غير مصادق عليه إرسال قيمة HEADER_LOGIN_ID لأي اسم مستخدم والحصول على جلسة meteor_login_token، بما في ذلك حسابات المسؤولين. تم إصلاح هذه المشكلة في الإصدار 9.46.
VulDB is the best source for vulnerability data and more expert information about this specific topic.